Was ist HSTS und wie aktiviere ich es?

HSTS steht für HTTP Strict Transport Security und teilt dem Browser mit, dass dieser die Webseite nur über eine HTTPS, also gesicherte Verbindung, öffnen soll.

Dadurch ist ein "Abfangen" der HTTP zu HTTPS Weiterleitung, dem sogenannten Man-in-the-Middle Angriff, oder unsicherer HTTP Aufruf nicht möglich.

Erfüllte Voraussetzungen

Zuerst müssen Sie sicher gehen, dass Ihre Domain über ein ein allgemein gültiges SSL Zertifikat verfügt. Außerdem sollte es keine Mixed-Content Warnung geben.

Beides können Sie einfach herausfinden, wenn Sie die Webseite im Browser öffnen. Sie müssten dann oben-links ein geschlossenes Schloss Symbol ohne Warndreieck sehen.

HSTS Eintragung

Den Eintrag können Sie auch in der .htaccess Datei der Domain selber eintragen. Es gibt jedoch einige CMS, welche die .htaccess neu beschreiben, dadurch würde der HSTS Eintrag entfernt werden.

Setzen Sie also in so einem Fall z.B. diesen Eintrag in die "Apache Konfiguration" der Domain direkt im "webgo Kundenportal unten links innerhalb Ihres betroffenen Vertrags" unter dem Punkt "Webserver":

Dort gehen Sie dann auf den Reiter Apache und finden dort "Eigene Einstellungen".

Header always set Strict-Transport-Security "max-age=31536000"

Sollte der Eintrag, welchen Sie einsetzen möchten, includeSubDomains oder preload als Optionen beinhalten, sollten Sie die Erklärung dazu am Ende dieses Artikels prüfen und diese eventuell einfach auslassen.

Bei unseren virtuellen oder dedicated Servern aktivieren Sie HSTS ganz einfach über die Froxlor Oberfläche bei der Domainverwaltung.

Da tragen Sie bei HTTP Strict Transport Security (HSTS) unter Webserver SSL-Einstellungen einfach die gewünschte Laufzeit in Sekunden ein, normal sind "31536000", was einem Jahr entspricht.

Genauere Erklärung der HSTS Optionen

max-age

Dies definiert in Sekunden, wie lange der Browser, welcher die Domain aufruft, die Seite nur über HTTPS erreichbar machen soll. Typischerweise werden hier 31536000 Sekunden (1 Jahr) verwendet.

Andere Werte wären zum Beispiel 7344000 (85 Tage) oder 15768000 (6 Monate).

includeSubDomains (optional)

Dieser Eintrag deckt alle Subdomains, also z.B. www., xyz. oder blabla. Domainvarianten Ihrer Domain ab.

Diesen Wert sollten Sie lediglich im HSTS Eintrag inkludieren, wenn Sie für sämtliche Subdomains eine erzwungene HSTS Verbindung wünschen und ein SSL Zertifikat für alle Subdomains eingerichtet haben.

Da die wenigsten Personen an sämtliche Subdomainvarianten denken und einige nur für interne Zwecke genutzt werden und daher nicht zwingend ein SSL Zertifikat benötigen, raten wir davon generell ab.

preload (optional, generell nicht zu empfehlen)

Damit können Sie die Domain optional in die preload Liste der großen Browser Anbieter aufnehmen lassen. Das bedeutet, dass HSTS direkt vom Browser Hersteller für Ihre Domain erzwungen wird.

Wenn es also Probleme mit dem SSL Zertifikat oder der Webseitenkonfiguration diesbezüglich gibt, kann es sein, dass Ihre Webseite permanent nicht mehr erreicht werden kann.

Daher empfehlen wir dies bei keiner großen Erfahrung mit HSTS generell nicht, denn dadurch wird für die Domain HSTS erzwungen und kann nicht mehr von Ihnen oder uns deaktiviert werden.

Sollten Sie sich der etwaigen permanenten Gefahren dennoch bewusst sein, können Sie, wenn Sie den Eintrag "preload" im HSTS Eintrag haben, die Domain unter https://hstspreload.org/ hierfür anmelden.

 

Wir hoffen Ihnen konnte dieser Artikel weiterhelfen!
Sollte dies nicht der Fall sein, wenden Sie sich gerne an den Support
per Mail, Live-Chat oder Telefon.
Mehr Infos und Kontaktdaten unter: www.webgo.de/support

Für Verbesserungen oder Vorschläge von FAQ Themen, schicken Sie uns eine Mail an faq@webgo.de